Странное netstat поведение на Windows XP относительно www.partypoker.com
Когда я делаю netstat (на Windows XP), я, кажется, всегда получаю огромный объем соединений www.partypoker.com, и я не могу выяснить, куда они происходят из.
A netstat -o показывает мне, что некоторые происходят из PID xxx, который является Firefox, но если я уничтожаю его, соединения все еще остаются.
Некоторые происходят из PID 0, который не имеет никакого смысла мне.
ВТОРАЯ ПРОБЛЕМА: можно было бы думать, что Вы могли отредактировать C:\WINDOWS\system32\drivers\etc\hosts файл для блокирования этого но кажется, что моя машина игнорирует файл hosts! (Я попробовал клиентской службой DNS, и включенной и отключенной, тот же результат).
Я просто перезагрузил, закрыл все мои нормальные программы, и я, может казаться, не воспроизвожу проблему. Если бы я был параноидальным человеком, то я думал бы, что был своего рода интеллектуальное троянское выполнение.
Я выполняю Windows XP Professional, Kaspersky Antivirus, CCleaner, и полностью актуален на Windows Update. Что дает?
Мои вопросы:
- Кто-либо еще видит эти странные соединения с partypoker.com?
- Почему мой фильтр хостов не работает?
- Существует ли утилита, которую я могу выполнить для обнаружения то, что происходит? Я попробовал autoruns.exe от Sysinternals, но не видел ничего интересного.
Действительно ли я - единственный с этой проблемой? Если существуют какие-либо дополнительные вещи, Вам нужен я, чтобы выполнить, сообщить мне.
4 ответа
2) Почему мой фильтр хостов не работает?
Одно объяснение, что рекламное программное обеспечение/вредоносное программное обеспечение, подключенное к серверу с помощью другого имени DNS или IP-адреса. Когда netstat разрешил IP-адрес, Вы получили запись PTR, которая может быть другим именем DNS. Это означает, что поиск ХОСТОВ был, вероятно, не для (www). название partypoker.com.
Два примечания, которые могут разрешить некоторый беспорядок:
netstat не имеет никакой возможности узнать, какое имя использовалось для инициирования соединения; это только отслеживает IP-адрес (проверьте это с netstat-n-o). При отображении информации Вам это пытается разрешить IP-адреса назад для именования. Таким образом, вредоносное программное обеспечение, которое Вы имеете, может соединиться прямо с IP-адресом или с совершенно другим именем.
PID 0 можно показать для соединений TCP в состоянии TIME_WAIT, после того, как процесс завершился. Это нормально.
Те соединения могут быть из-за баннеров на сайтах, которые Вы посетили.
Соединение не исчезает сразу же из netstat после того, как фактическое соединение было закончено. Это возникает вопрос - в том, каковы соединения состояния с partypoker? УСТАНОВЛЕННЫЙ или CLOSE_WAIT или что-то еще?
Ну, Партийный Покер является известной комнатой покера онлайн (я также играю там :)). Я не знаю что касается FireFox, но он устанавливает что-то для IE, по крайней мере, быстрый значок запуска и что-то еще (я думаю некоторый плагин для игр в браузере) - я заблокировал его при установке клиента. По крайней мере, это, кажется, не вредоносное программное обеспечение. Попытайтесь определить местоположение и удалить клиент PartyPoker, если у Вас есть тот. Также перезагрузка и проверка, если существуют соединения перед рабочим FF - потому что я действительно думаю, что это - своего рода плагин PartyPoker, который является определенно не опасным сайтом.